Drucker, Kopierer und Multifunktionssysteme (MFP) fristen in puncto Sicherheit bei vielen IT-Managern ein Schattendasein. Gelten sie doch vielfach als unkritische Peripheriegeräte.
Umfrageergebnisse belegen jedoch, dass 70 Prozent der Unternehmen bereits negative Erfahrungen mit Dokumentenmissbrauch im Druckumfeld gemacht haben (Marktstudie „Closing the print security gap“, Quorcirca (2011), S. 3.). Dennoch konzentrieren sich Unternehmen weiterhin hauptsächlich auf die Absicherung ihres Firmennetzwerks und vernachlässigen darüber die Bedrohung, die von Druckern, Kopierern und MFPs für die Datensicherheit ausgeht.
Mehr Funktionalität – höheres Risiko
MFPs können nicht nur drucken, kopieren, faxen und scannen, sondern verfügen auch über interne Datenspeicher und eine Scan-to-E-Mail-Funktion. Darüber hinaus sind sie Teil des Firmennetzes und haben einen eigenen Webserver. Außerdem können MFPs Druckaufträge von PCs, Laptops, und jetzt auch von Smartphones sowie Tablets empfangen und ausführen. Dies ermöglicht allen Mitarbeitern ein flexibleres Arbeiten, denn sie können von einem Endgerät ihrer Wahl auf ein Multifunktionssystem zugreifen.
Allerdings birgt die Einbindung in das Unternehmensnetz Sicherheitsrisiken, weil die Aktivitäten am Endgerät ohne geeignete Maßnahmen kaum kontrolliert werden können. Gleichzeitig bildet der Netzwerkzugang eine Schwachstelle, über die sich Hacker Zugriff auf vertrauliche Informationen verschaffen können. Für Unternehmen heißt dies, dass sie geltende Rechtsvorgaben zur Gewährleistung der Informationssicherheit auch für netzwerkfähige Drucker, Kopierer, Faxe und MFPs umsetzen müssen.
Ganzheitliche Sicherheitskonzepte
Um den Missbrauch von vertraulichen Dokumenten zu verhindern, müssen daher im unternehmensweiten IT-Sicherheitskonzept auch alle Komponenten des Druckumfelds berücksichtigt werden. Je nach Unternehmensgröße und Branche ergeben sich individuelle Sicherheitsanforderungen. Diese werden in der Regel in enger Zusammenarbeit zwischen Systemanbietern und Anwendern formuliert. Daraus werden relevante Risiken und geeignete Gegenmaßnahmen definiert.
Schwachstellen müssen erkannt werden
Der häufigste Grund, weshalb vertrauliche Informationen auf Abwege geraten, ist menschliche Nachlässigkeit. So bleiben Dokumente nicht selten unabsichtlich im MFP liegen; manche Ausdrucke werden erst gar nicht beim Drucker abgeholt. Gefährlich wird es dann, wenn unzufriedene Mitarbeiter diese Situation ausnutzen und sich vertrauliche Informationen aneignen, um dem Arbeitgeber zu schaden. Abgetrennte Druckerräume ohne Zugangskontrolle erleichtern diese Art des Missbrauchs.
Das so genannte Pull Printing kann dies verhindern: Dabei wird der Druckvorgang erst dann gestartet, wenn sich der Mitarbeiter mit der Eingabe eines Passwortes direkt am Ausgabegerät identifiziert. Weitere Möglichkeiten der Authentifizierung sind Smartcards, biometrische Verfahren wie das Scannen des Fingerabdrucks oder Ausweise mit RFID-Tags. Über das von Xerox entwickelte Secure Access Unified ID System können Mitarbeiter beispielsweise Druckaufträge an einen zentralen Printserver schicken. Das Dokument lässt sich dann unternehmensweit an jedem MFP ausdrucken, allerdings erst dann, wenn sich der Benutzer zuvor authentifiziert hat.
Sind noch strengere Sicherheitsmaßnahmen gefordert, kann zusätzlich eine PIN-Nummer abgefragt werden. Zusätzlich beschleunigt Secure Access die Bedienung. Denn das Multifunktionssystem kann anhand der Informationen der Benutzerkennkarte bei Anmeldung bereits Datenfelder automatisch ausfüllen, beispielsweise das „von“-Feld beim Versand eines Scans per E-Mail. Eine weitere Sicherheitsfunktion ist die Einschränkung von Scan-to-Emailund Scan-to-Fax-Funktionen auf vordefinierte Adressen. Dies stellt sicher, dass nur dazu autorisierte Mitarbeiter Dokumente versenden können.
Geräte und Dokumente vor unerlaubtem Zugriff schützen
Verfügt ein MFP über eine Festplatte, um Druck-Jobs zwischen zu speichern, müssen die darauf abgelegten Daten in verschlüsselter Form gespeichert werden. Sonst kann ein illoyaler Mitarbeiter oder ein Hacker die Informationen auslesen und für seine Zwecke missbrauchen. Besondere Vorsicht ist geboten, wenn ein Multifunktionssystem oder Drucker ausgemustert wird, der über eine Festplatte verfügt. In diesem Fall sollten alle gespeicherten Daten mit einem geeigneten Programm überschrieben werden. Die Harddisk zu formatieren, reicht nicht aus. Xerox bietet mit „Secure Erase“ für seine Drucker und Multifunktionssysteme eine Funktion an, mit der sich Daten auf Festplatten auf sichere Weise löschen lassen. Zur sicheren Datenübertragung zum MFP sollten außerdem Protokolle wie SSL (Secure Socket Layer) oder IPSec (Internet Protocol Security) genutzt werden. Sie übermitteln Informationen über verschlüsselte Verbindungen und erschweren es Angreifern, diese Daten abzufangen.
Oft vernachlässigt wird die Absicherung der Systemkonfiguration mit Passwörtern, die der Systemadministrator neu vergibt. Stattdessen werden häufig die Standardpasswörter von Druckern oder Multifunktionssystemen genutzt. In diesem Fall lassen sich Druckaufträge leicht zurückverfolgen. Auch Benutzerpasswörter und Netzwerkeinstellungen sind so dem Missbrauch ausgesetzt. Um sicher zu gehen, dass nur autorisierte Endgeräte auf unternehmenseigene Drucksysteme zugreifen können, empfiehlt sich die Verwendung digitaler Zertifikate. Dies ist besonders wichtig, wenn mobile Mitarbeiter von unterwegs auf das Unternehmensnetz zugreifen. Zertifikate verhindern so genannte „Man-in-the-Middle“-Angriffe. Bei ihnen klinkt sich ein Angreifer in die Kommunikation zwischen dem mobilen Mitarbeiter und Systemen im Unternehmensnetz ein und fängt Informationen ab.
Wasserzeichen schützen vor unerlaubten Kopien
Zusätzlich zur Geräte- und Zugriffsüberwachung kann Dokumentenmissbrauch durch eine spezielle Ausstattung der Ausdrucke selbst erschwert werden. Ein Beispiel ist das von Xerox entwickelte Glossmark-Verfahren. Dabei werden Dokumente beim Ausdruck mit Hologramm- ähnlichen Mustern, Bildern oder Logos versehen. Das Hologramm-artige Bild ist fälschungssicher und schützt vor unerlaubter Vervielfältigung von Dokumenten.
Eindringlinge abhalten
MFPs verfügen über Netzwerkschnittstellen, diese lassen sich mithilfe von Firewalls gegen Attacken von außen absichern. Darüber hinaus sind einzelne IP-Adressen oder IP-Adressbereiche sperrbar und nicht benötigte Ports und Protokolle können deaktiviert werden.
Zertifizierung nach Common Criteria
Vor allem öffentliche Einrichtungen und Behörden sollten darauf achten, dass das gesamte Multifunktionssystem gemäß den Common Criteria (ISO 15408) zertifiziert sind. Common Criteria sind ein international gültiger Standard, der IT-Systeme in Bezug auf die Datensicherheit bewertet und eine entsprechende Zertifizierung vorsieht.
Problematisch ist, dass etliche Hersteller nur eine Teilzertifizierung ihrer Systeme vornehmen lassen. So sind beispielsweise Funktionen wie das Überschreiben von Benutzerdaten auf der Festplatte eines MFP zertifiziert, andere potenzielle Einfallstore für Angriffe bleiben dagegen außen vor. Xerox lässt alle Funktionen seiner Multifunktionssysteme gemäß den Common Criteria zertifizieren. Dadurch bieten Systeme von Xerox einen umfassenden Schutz gegen Gefahren aller Art.
Fazit
Die Vielzahl der Risiken zeigt deutlich, dass unternehmensweite Dokumentensicherheit nur dann gewährleistet ist, wenn die Absicherung von Druckern und Multifunktionsgeräten fester Bestandteil des IT-Sicherheitskonzeptes ist. Das setzt voraus, dass diese Systeme über Sicherheitsfunktionen verfügen, etwa für das sichere Löschen von Festplatten, die Authentifizierung von Usern und das Aufbringen von fälschungssicheren Wasserzeichen auf Ausdrucken. Alle diese Maßnahmen laufen jedoch ins Leere, wenn Mitarbeiter nicht mitspielen. Wesentliche Punkte eines umfassenden IT-Sicherheitskonzeptes sind daher die Aufklärung und die Schulung der Mitarbeiter. Das gilt nicht nur für den Umgang mit Arbeitsplatzrechnern und mobilen Systemen, sondern auch für den Bereich Output-Management.
Weitere Informationen:
Dies ist ein Artikel aus dem aktuellen Premium eBook: Alles über effizientes Drucken. Hier geht es zum kostenlosen Download des vollständigen eBooks.
Ulrich Parthier, Publisher it management